「うちからは漏えいしてないのに…」顧客のID/Pass使い回しで会員制サイトが陥る危機
そのID/Passはすでに漏れている?会員サイトに危機が迫る
Eコマースやネットバンキングなど、Webサイトがビジネスの中核となっている企業は数多い。こうした企業が必ず直面する課題が、不正アクセスや不正ログインだ。特にIDとパスワードを不正に抜き取り、正規のユーザーに成りすましてログインする「アカウントテイクオーバー(ATO:Account Takeover)」(アカウント乗っ取り)は、会員サイトを運営している企業にとって対策が難しい攻撃である。
その理由の1つが、攻撃者がすでに漏えいしたアカウントを使って攻撃を仕掛けるためだ。ダークウェブでは、さまざまなWebサイトで漏えいしたアカウント情報が売買されており、リストを手にした攻撃者は、それを使って会員サイトにログインを試みる。
もしユーザーがIDやパスワードなどのアカウント情報を使い回していた場合は、自社で漏えいが起きていなくとも、情報流出やポイント・クレジットカードの不正使用といった被害が発生してしまい、責任を問われることになる。
ユーザーに対してアカウント情報を使い回さないよう警告したとしても、それで100%使いまわしを防ぐことは不可能だろう。
攻撃者の多くは、手に入れた漏えいアカウントのリストとボットを組み合わせて、効率的に攻撃を仕掛けてくるため、多要素認証、たとえば簡単なパズルを解かせて人間であることを識別するCAPTCHAなどはよく知られた対策の1つであるが、それよりも根本的な解決となるのは、アクセスしてきたアカウントが漏えいしているかどうかを判断することだ。
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ